Одной из причин того, почему мне очень нравится COBIT5, является наличие в данной методологии явных связок задач бизнеса и ИТ. Другой - отличное описание процессов и полезные рекомендации по их реализации. В этом посте я расскажу про область непрерывности бизнеса с точки зрения COBIT5.
В глоссарии COBIT5 дается такое определение:
Ну, это была присказка, а начнем мы с "самого верха"...
Фокусными целями/приоритетами Governance в COBIT5 являются:
Далее в COBIT5 можно найти связь между целями бизнеса и целями ИТ (IT-related Goals). Для рассматриваемой "Business service continuity and availability" связка будет такой (p-первичные цели, s-вторичные):
Таблица-связка в COBIT5 выглядит так (привожу для общего понимания):
Также в COBIT5 есть связка потребностей заинтересованных лиц и целей бизнеса (Stakeholder needs and enterprise goals), и связка целей ИТ с процессами COBIT5 (IT-related Goals to Processes), но они не очень нам интересны в рамках рассматриваемой темы и могут скорее запутать. Поэтому предлагаю сразу перейти к основному процессу, затрагивающему моменты связанные с непрерывностью бизнеса, - DSS04 "Manage Continuity" (домен DSS "Deliver, Service and Support").
В настоящий момент этот процесс детально описан в 2х книгах: "COBIT5 Enabling Processes" и "COBIT5 for Information Security". При этом первая книга рассматривает процесс с точки зрения связки с целями ИТ, а вторая с позиции информационной безопасности. Я бы рекомендовал ориентироваться на первую книгу, в ней дается больше информации по ключевым элементам процесса ("Key Management Practices"), включая матрицу ролей (RACI Chart). В первой книге описание на 5 страниц, во второй - 2.
Краткое описание и цель процесса:
Сам процесс состоит из следующих ключевых элементов/этапов:
Каждый элемент процесса содержит краткое описание, перечень входов и выходов, перечень основных действий/рекомендаций (Activities). Все представлено в аккуратных таблицах, например:
Для каждого элемента процесса приведены основные роли, они сведены в общую таблицу (RACI Chart). Приведу ее полностью:
COBIT5 дает много полезной информации, причем рассматривает область непрерывности бизнеса в связке с другими процессами управления ИТ и ИБ, что очень удобно если вы ориентируетесь на системный, комплексный и процессный подход. Тем не менее для внедрения Вам может не хватить практичеких рекомендаций (согласитесь, что их будет не так много на 5 страницах А4), поэтому в COBIT5 приведены ссылки на другие стандарты и "лучшие практики" по теме непрерывности бизнеса:
Общая майндкарта (в PDF тут )
Дополнительно можете посмотреть:
В глоссарии COBIT5 дается такое определение:
Business continuity - Preventing, mitigating and recovering from disruption. The terms ‘business resumption planning’, ‘disaster recovery planning’ and ‘contingency planning’ also may be used in this context; they focus on recovery aspects of continuity, and for that reason the ‘resilience’ aspect should also be taken into account.Для сравнения приведу пример определения из ISO 22301:
Business continuity - Capability of the organization to continue delivery of products or services at acceptable predefined levels following disruptive incident.
Ну, это была присказка, а начнем мы с "самого верха"...
Фокусными целями/приоритетами Governance в COBIT5 являются:
- Benefit realisation. Предоставление выгод для заинтересованных сторон
- Risk optimisation. Оптимизация рисков
- Resource optimisation. Оптимизация ресурсов
Далее в COBIT5 можно найти связь между целями бизнеса и целями ИТ (IT-related Goals). Для рассматриваемой "Business service continuity and availability" связка будет такой (p-первичные цели, s-вторичные):
- S- 01.Alignment of IT and business strategy (группа "Financial")
- P- 04.Managed IT-related business risk (группа "Financial")
- S- 07.Delivery of IT services in line with business requirements (группа "Customer")
- S- 08.Adequate use of applications, information and technology solutions (группа "Customer")
- P- 10.Security of information, processing infrastructure and applications (группа "Internal")
- P- 14.Availability of reliable and useful information for decision making (группа "Internal")
Таблица-связка в COBIT5 выглядит так (привожу для общего понимания):
Также в COBIT5 есть связка потребностей заинтересованных лиц и целей бизнеса (Stakeholder needs and enterprise goals), и связка целей ИТ с процессами COBIT5 (IT-related Goals to Processes), но они не очень нам интересны в рамках рассматриваемой темы и могут скорее запутать. Поэтому предлагаю сразу перейти к основному процессу, затрагивающему моменты связанные с непрерывностью бизнеса, - DSS04 "Manage Continuity" (домен DSS "Deliver, Service and Support").
В настоящий момент этот процесс детально описан в 2х книгах: "COBIT5 Enabling Processes" и "COBIT5 for Information Security". При этом первая книга рассматривает процесс с точки зрения связки с целями ИТ, а вторая с позиции информационной безопасности. Я бы рекомендовал ориентироваться на первую книгу, в ней дается больше информации по ключевым элементам процесса ("Key Management Practices"), включая матрицу ролей (RACI Chart). В первой книге описание на 5 страниц, во второй - 2.
Краткое описание и цель процесса:
Process DescriptionEstablish and maintain a plan to enable the business and IT to respond to incidents and disruptions in order to continue operation of critical business processes and required IT services and maintain availability of information at a level acceptable to the enterpriseProcess Purpose StatementContinue critical business operations and maintain availability of information at a level acceptable to the enterprise in the event of a significant disruption.Continue critical business operations and maintain availability of information at a level acceptable to the enterprise in the event of a significant disruption.
Сам процесс состоит из следующих ключевых элементов/этапов:
- DSS04.01 Define the business continuity policy, objectives and scope. Определение политики непрерывности бизнеса, ее целей и области действия
- DSS04.02 Maintain a continuity strategy. Разработка стратегии непрерывности
- DSS04.03 Develop and implement a business continuity response. Разработка и внедрение плана реагирования
- DSS04.04 Exercise, test and review the BCP. Тестирование и пересмотр BCP
- DSS04.05 Review, maintain and improve the continuity plan. Пересмотр, поддержка и улучшение плана
- DSS04.06 Conduct continuity plan training. Проведение обучения по BCP
- DSS04.07 Manage backup arrangements. Управление мерами по резервному копированию
- DSS04.08 Conduct post-resumption review. Анализ процесса после внедрения
Каждый элемент процесса содержит краткое описание, перечень входов и выходов, перечень основных действий/рекомендаций (Activities). Все представлено в аккуратных таблицах, например:
Для каждого элемента процесса приведены основные роли, они сведены в общую таблицу (RACI Chart). Приведу ее полностью:
COBIT5 дает много полезной информации, причем рассматривает область непрерывности бизнеса в связке с другими процессами управления ИТ и ИБ, что очень удобно если вы ориентируетесь на системный, комплексный и процессный подход. Тем не менее для внедрения Вам может не хватить практичеких рекомендаций (согласитесь, что их будет не так много на 5 страницах А4), поэтому в COBIT5 приведены ссылки на другие стандарты и "лучшие практики" по теме непрерывности бизнеса:
- BS 25999:2007 - Business Continuity Standard
- ISO/IEC 20000 - 6.3 Service continuity and availability management
- ISO/IEC 27002:2011 - 14. Business Continuity Management
- ITIL v3 2011 - 9. IT Service Continuity Management
Общая майндкарта (в PDF тут )
Дополнительно можете посмотреть: